Lieferkettensorgfaltspflichtengesetz – nichts für KMU?
Wir erklären Ihnen in diesem Rechtstipp der Woche, welche Einschränkungen unzulässig sind und welche Vorgaben des Herstellers Sie beachten müssen.
1. Das Widerspruchsrecht
2. Wie reagieren Sie nun richtig auf einen erklärten Widerspruch?
3. Abgrenzung zum Widerrufsrecht
4. Abgrenzung zum Widerruf von Verbraucherkäufen
5. Unser Tipp
Widerspruchsrecht und Widerrufsrecht sind Betroffenenrechte aus dem Datenschutz. Diese müssen voneinander getrennt werden und unterscheiden sich auch im Umgang im Falle der Ausübung. Mit dem Widerrufsrecht aus der DSGVO nicht verwechselt werden darf der Widerruf nach dem BGB, der Verbraucherinnen und Verbrauchern bei Fernabsatzgeschäften und Geschäften außerhalb von Geschäftsräumen zusteht.
Diesen Begriffsdschungel möchten wir für Sie in diesem Tipp der Woche lichten.
Bei dem Widerspruchsrecht handelt es sich um ein Betroffenenrecht aus der DSGVO gem. Art. 21 DSGVO, was der betroffenen Person zusteht und dessen Ausübung dazu führen kann, dass die Datenverarbeitung, die auf Art. 6 Abs. 1 S.1. lit. e) oder f) DSGVO gestützt wird, unrechtmäßig wird.
Der Hinweis auf das Bestehen des Widerspruchsrechts gehört zu Ihren Pflichten gegenüber den Betroffenen (Art. 21 Abs. 4 DSGVO).
Damit der betroffenen Person besagtes Widerrufsrecht zusteht, müssen mehrere Voraussetzungen vorliegen.
1. Datenverarbeitung gestützt auf Art. 6 Abs. 1 Satz 1 Lit. e) oder f) DSGVO
Die ursprüngliche Datenverarbeitung muss gem. Art. 6 Abs. 1 S.1 lit. e) DSGVO im öffentlichen Interesse oder gem. lit. f) zur Wahrung der berechtigten Interessen der oder des Verantwortlichen oder eines Dritten erforderlich sein.
2. Vorlage eines Widerspruchsgrundes
Die betroffene Person kann nicht einfach aus einer Laune heraus der Datenverarbeitung widersprechen, es muss vielmehr eine besondere Situation vorliegen, die einen Widerspruchsgrund bildet. Eine solche liegt dann vor, wenn in der betroffenen Person ein individueller Grund vorliegt. Dies kann beispielsweise der Fall sein, wenn die Datenverarbeitung eine Gefahr für die betroffene Person aufgrund von politischem Aktivismus darstellt. Im Endeffekt ist dies ist natürlich immer eine Frage des Einzelfalls.
Etwas anderes gilt im Falle der Direktwerbung, dieser kann auch ohne besonderen Grund jederzeit gem. Art. 21 Abs. 2 DSGVO widersprochen werden.
3. Erklärung des Widerspruchs gegenüber der oder dem Verantwortlichen
Die Erklärung des Widerspruchs kann sowohl durch ein persönliches Schreiben an Sie erfolgen, als auch automatisiert durch Browser-Plug-Ins oder andere Software wie Do-Not-Track-Tools. Der automatisierte Widerspruch gegen bestimmte Verarbeitungen ist ebenso rechtwirksam gegenüber den für die Datenverarbeitung Verantwortlichen.
4. Keine schutzwürdigen Gründe der oder des Verantwortlichen
Der Widerspruch ist allerdings ausgeschlossen, wenn auf Ihrer Seite als Verantwortliche*r zwingende und vorrangige Gründe vorliegen. Es hat also eine Interessenabwägung zu erfolgen, um zu evaluieren, welche Interessen letztlich überwiegen, die der oder des Verantwortlichen, oder die der oder des Betroffenen.
Im ersten Schritt sollten Sie überprüfen, ob tatsächlich ein besonderer Grund in der Person der oder des Betroffenen vorliegt und ob dieser im Fall der Verarbeitung, gestützt auf Art. 6 Abs. 1 S.1 lit. f) DSGVO, Ihre Interessen als Verantwortliche überwiegen.
Im zweiten Schritt prüfen Sie, ob möglicherweise zwingende Gründe, bestehend in der Erfüllung eines Vertrages, die Verarbeitung gemäß Art. 6 Abs. 1 S. 1 lit. b) DSGVO erforderlich machen und damit rechtfertigen. In diesem Fall kann kein Gebrauch von einem Widerspruchsrecht gemacht werden.
Im dritten und letzten Schritt unterrichten Sie die betroffene Person innerhalb eines Monats gem. Art. 12 Abs. 3 S. 1 DSGVO über die durchgeführten Maßnahmen, sowie die Abwägung oder eine mögliche Einstellung des Datenverarbeitungsprozesses. Der Kommunikationskanal liegt dabei grundsätzlich in der Wahl der betroffenen Person. Wenn diese sich dazu nicht geäußert hat, müssen Sie über den Weg kommunizieren, über den der Widerspruch eingelegt wurde.
Wenn der Widerspruch rechtmäßig ist, müssen Sie die personenbezogenen Daten gem. Art. 17 Abs. 1 lit. c) DSGVO löschen.
Wichtig ist, dass Sie all diese Vorgänge unbedingt dokumentieren. Auch dies zählt zu Ihren datenschutzrechtlichen Pflichten.
Von dem Widerspruch abgegrenzt werden muss der datenschutzrechtliche Widerruf. Dieser ist in den Fällen anwendbar, in denen sich die Datenverarbeitung auf eine Einwilligung gem. Art. 6 Abs. 1 S.1 lit. a) DSGVO stützt. Im Gegensatz zum Widerspruch, braucht es für den Widerruf keinen Grund.
Hintergrund ist das informationelle Selbstbestimmungsrecht von Betroffenen. Eine einmal getroffene Entscheidung in Form einer Einwilligung kann jederzeit auch wieder rückgängig gemacht werden. Der betroffenen Person bleibt auch nach einer Einwilligung die Möglichkeit, die Meinung zu ändern. Dementsprechend gelten Einwilligungen nicht für die Ewigkeit.
Rechtsgrundlage für den Widerruf ist Art. 7 Abs. 3 DSGVO.
Auch in diesem Fall trifft Sie als Verantwortliche*r die Pflicht, die betroffene Person über ihr Recht auf Widerruf zu informieren.
Die Anforderungen an den Widerruf richten sich nach der Einwilligung selbst. Es gilt, dass der Widerruf genau so einfach erfolgen können muss wie die Einwilligung selbst.
Rechtsfolge des Widerrufs ist, dass mit sofortiger Wirkung die Verarbeitung der entsprechenden personenbezogenen Daten unrechtmäßig wird.
Ab dem Moment, ab dem die oder der Betroffene die Einwilligung zum Newsletterversand beispielsweise widerruft, besteht also keine Rechtsgrundlage für eine rechtmäßige Datenverarbeitung mehr.
Jedoch können Sie natürlich trotzdem prüfen, ob möglicherweise die Datenverarbeitung aufgrund einer anderen Rechtsgrundlage von Art. 6 Abs. 1 DSGVO zulässig wäre. Hierüber wäre die betroffene Person dann aber ebenfalls zu unterrichten.
Auch der Widerruf kann mit einer Löschpflicht aus Art. 17 Abs. 1 Lit. b einhergehen.
Auch wenn terminologisch bei Verbraucherkäufen gem. § 355 iVm §§ 312b, 312c BGB ebenso ein Widerrufsrecht vorliegt, ist dies streng vom Datenschutzrecht abzugrenzen. Dieses Widerrufsrecht gibt Verbraucher*innen das Recht, einen abgeschlossenen Kaufvertrag innerhalb von 14 Tagen Ihnen gegenüber zu widerrufen. Daraus erwachsen aber keine datenschutzrechtlichen Pflichten oder Vergleichbares. Einzelheiten zum Umgang mit dem Widerruf von Verbraucherkäufen finden Sie in diesem Tipp der Woche.
Bleiben Sie aufmerksam, um zu verhindern, dass die ähnlichen Begrifflichkeiten zu Verwirrung bei Ihnen führen. Der falsche Umgang mit einem Betroffenenrecht kann für Sie unangenehme Folgen haben, wie Beispielsweise die Meldung bei einer Aufsichtsbehörde.
Wägen Sie im Fall einer Ausübung des Widerspruchsrechts gewissenhaft die widerstreitenden Interessen ab. Unser Rechtstexter hilft Ihnen dabei, in der Datenschutzerklärung bereits korrekt auf ggf. bestehende Widerrufsrechte als auch Widerspruchsrechte hinzuweisen und den Betroffenen die notwendigen Informationen an die Hand zu geben.
Über die Autorin
Sabrina Brosch, LL.M., ist Teamlead Privacy Consultants bei Trusted Shops im Bereich Legal Services. Jurastudium an der Universität zu Köln und der Université Paris 1 Panthéon-Sorbonne mit LL.M. Abschlüssen beider Universitäten mit dem Schwerpunkt Internationales Privatrecht. Seit 2015 im Team von Trusted Shops war sie zunächst für die Prüfung von Online-Shops der Märkte DE, AT, CH und FR zuständig und verantwortete das Operational Management der Key Account Kunden in diesem Bereich. Sie setzt sich intensiv mit dem Wettbewerbs- und E-Commerce-Recht auseinander und betreut die Trusted Shops Legal Produkte.
21.06.23Wir erklären Ihnen in diesem Rechtstipp der Woche, welche Einschränkungen unzulässig sind und welche Vorgaben des Herstellers Sie beachten müssen.
Großer Paukenschlag in Brüssel: Die Europäische Kommission hat den neuen Angemessenheitsbeschluss – das Trans-Atlantic Data Privacy Framework ("TADPF"